Schädlinge, Hacker, Spione – sie alle haben es auf Ihren PC, Ihr Windows-System und Ihre Daten abgesehen. Lassen Sie es erst gar nicht zum Schaden kommen: Mit unseren Tipps und Tools sichern Sie ihr Windows-System, Browser und Router gegen alle Risiken ab!
Kriminelle im Internet wollen Ihren Rechner missbrauchen – etwa um Spam zu verschicken, verbotene Inhalte zu verbreiten oder Bankdaten zu sammeln. Wenn es Hackern gelingt, Ihren Rechner für illegale Zwecke zu nutzen, droht auch Ihnen Ärger. Doch Sie können Ihr Windows-System ganz leicht gegen solche Ãœbergriffe sichern.
Die folgenden 11 Massnahmen reduzieren die Angriffsfläche auf Ihr Windows-System so weit, dass praktisch keine Malware und kein Hacker mehr eine Chance hat. Sorgen Sie dafür, dass Sie Windows so sichern, dass Ihr System wirklich nur Ihnen gehorcht. Viele unserer Tipps können Sie ganz einfach mit Windows-Bordmitteln erledigen.
1. Windows sichern mit geschützten Benutzerkonten
Gefahr: Wenn Sie unter Windows ein Programm starten, hat es immer dieselben Zugriffsrechte auf Systemeinstellungen und -dateien wie Ihr Benutzer. Wenn Sie ein Konto mit Admin-Rechten verwenden, dann haben ausser Ihnen auch alle automatisch oder manuell gestarteten Tools vollen Zugriff auf das System. Jede Sicherheitslücke in Windows oder der Software, jeder unüberlegte Klick kann ohne Warnung dazu führen, dass Ihr System durch Malware verseucht oder gehackt wird.
Abwehr: Sichern Sie Windows, indem Sie neben dem unentbehrlichen Benutzerkonto mit Admin-Rechten auch sichere, eingeschränkte Benutzerkonten anlegen. Wenn Sie ein solches Konto nutzen, haben weder Sie selbst noch gestartete Anwendungen das Recht, Systemeinstellungen zu ändern. Folglich führt auch der Grossteil der Malware- oder Hacker-Attacken ins Leere, egal, durch welches Einfallstor sie dringen wollen. Legen Sie also für sich selbst ein sicheres Zweitkonto an. Für alle weiteren Benutzer sollten Sie ausschliesslich sichere Konten vergeben.
Sicheres Konto anlegen: Um ein sicheres neues Konto zu erstellen, öffnen Sie die Systemsteuerung (klassische Ansicht) und wählen den Punkt „Benutzerkonten“. Unter XP wählen Sie dann „Neues Konto erstellen“ und tragen den Namen des neuen Kontos ein – etwa „<Benutzername> (geschützt)“. Nach einem Klick auf „Weiter“ wählen Sie den Kontotyp „Eingeschränkt“ und gehen auf „Konto erstellen“. Dann klicken Sie auf das neue Konto in der Liste, wählen „Kennwort erstellen“ und vergeben ein sicheres Passwort (bestehend aus Buchstaben, Zahlen und Sonderzeichen). Unter Vista klicken Sie im Systemsteuerungs-Applet „Benutzerkonten“ auf „Anderes Konto verwalten“ und bestätigen die Warnung der Benutzerkontensteuerung. Wählen Sie „Neues Konto erstellen“, geben Sie wie unter XP einen Benutzernamen ein, aktivieren die Option „Standardbenutzer“ und klicken auf „Konto erstellen“. Dann rufen Sie das neue Konto in der Liste auf, gehen auf „Kennwort erstellen“ und vergeben ein sicheres Passwort.
Sicheres Konto nutzen: Sie können sich danach ganz normal bei dem neuen Konto anmelden. Die meisten Benutzer fühlen sich durch ein sicheres Benutzerkonto jedoch in ihrer Installations- und Konfigurationsfreiheit so beschnitten, dass sie lieber auf die Sicherheit verzichten. Eine praktikable Alternative, um Windows zu sichern: Sie betreiben Ihr System prinzipiell mit Admin-Rechten, lassen aber besonders bedrohte Tools (etwa den Browser) mit eingeschränkten Rechten laufen. Wie Sie das machen, lesen Sie im nächsten Punkt "Browser schützen - Rechte im Web minimieren".
Ãœbrigens: Das Admin-Konto ist unter Vista längst nicht mehr so anfällig wie unter XP – dank der Benutzerkontensteuerung. Sie sorgt dafür, dass kein Prozess ohne Ihre Zustimmung System-Dateien und Einstellungen anpassen kann, auch nicht im Admin-Kontext. Trotzdem sollten Sie Windows sichern, indem Sie weitere Benutzer auch unter Vista mit sicheren Konten arbeiten lassen - und auch der Admin sollte den Browser im geschützten Modus ausführen.
Abwehr: Sichern Sie Windows, indem Sie neben dem unentbehrlichen Benutzerkonto mit Admin-Rechten auch sichere, eingeschränkte Benutzerkonten anlegen. Wenn Sie ein solches Konto nutzen, haben weder Sie selbst noch gestartete Anwendungen das Recht, Systemeinstellungen zu ändern. Folglich führt auch der Grossteil der Malware- oder Hacker-Attacken ins Leere, egal, durch welches Einfallstor sie dringen wollen. Legen Sie also für sich selbst ein sicheres Zweitkonto an. Für alle weiteren Benutzer sollten Sie ausschliesslich sichere Konten vergeben.
Sicheres Konto anlegen: Um ein sicheres neues Konto zu erstellen, öffnen Sie die Systemsteuerung (klassische Ansicht) und wählen den Punkt „Benutzerkonten“. Unter XP wählen Sie dann „Neues Konto erstellen“ und tragen den Namen des neuen Kontos ein – etwa „<Benutzername> (geschützt)“. Nach einem Klick auf „Weiter“ wählen Sie den Kontotyp „Eingeschränkt“ und gehen auf „Konto erstellen“. Dann klicken Sie auf das neue Konto in der Liste, wählen „Kennwort erstellen“ und vergeben ein sicheres Passwort (bestehend aus Buchstaben, Zahlen und Sonderzeichen). Unter Vista klicken Sie im Systemsteuerungs-Applet „Benutzerkonten“ auf „Anderes Konto verwalten“ und bestätigen die Warnung der Benutzerkontensteuerung. Wählen Sie „Neues Konto erstellen“, geben Sie wie unter XP einen Benutzernamen ein, aktivieren die Option „Standardbenutzer“ und klicken auf „Konto erstellen“. Dann rufen Sie das neue Konto in der Liste auf, gehen auf „Kennwort erstellen“ und vergeben ein sicheres Passwort.
Sicheres Konto nutzen: Sie können sich danach ganz normal bei dem neuen Konto anmelden. Die meisten Benutzer fühlen sich durch ein sicheres Benutzerkonto jedoch in ihrer Installations- und Konfigurationsfreiheit so beschnitten, dass sie lieber auf die Sicherheit verzichten. Eine praktikable Alternative, um Windows zu sichern: Sie betreiben Ihr System prinzipiell mit Admin-Rechten, lassen aber besonders bedrohte Tools (etwa den Browser) mit eingeschränkten Rechten laufen. Wie Sie das machen, lesen Sie im nächsten Punkt "Browser schützen - Rechte im Web minimieren".
Ãœbrigens: Das Admin-Konto ist unter Vista längst nicht mehr so anfällig wie unter XP – dank der Benutzerkontensteuerung. Sie sorgt dafür, dass kein Prozess ohne Ihre Zustimmung System-Dateien und Einstellungen anpassen kann, auch nicht im Admin-Kontext. Trotzdem sollten Sie Windows sichern, indem Sie weitere Benutzer auch unter Vista mit sicheren Konten arbeiten lassen - und auch der Admin sollte den Browser im geschützten Modus ausführen.
2. Windows sichern - Browser schützen: Rechte im Web minimieren
Gefahr: Der Web-Browser ist Ihr Fenster zum Netz. Damit ist er ein beliebtes Angriffsziel – etwa für gefälschte Netzwerkpakete. Auch der Besuch gehackter Web-Seiten oder ein unüberlegter Klick können Attacken auslösen, etwa einen Drive-by-Download, also das Herunterladen von Code ohne Zutun des Anwenders.
Abwehr: Wie in Punkt 1 beschrieben, sollten Sie Ihren Browser immer mit minimalen Rechten betreiben, um möglichst wenig Angriffsfläche zu bieten.
Browser-Schutz unter XP: Mit pcwRunAs legen Sie einen Link auf dem Desktop an, über den Sie den Browser geschützt starten können. Installieren Sie das Tool, rufen Sie es auf, und folgen Sie dem Assistenten. Im zweiten Dialog geben Sie den Pfad zum Browser an. Im dritten wählen Sie Ihr sicheres Konto aus Punkt 1 und geben das Kennwort dazu ein. Im vierten geben Sie den Namen an, den der neue Desktop-Link erhalten soll (etwa „Firefox – geschützt“). Ein Klick auf den neuen Link startet den Browser über das sichere Konto.
Achtung: Der Browser läuft in einem anderen Benutzerkontext als Ihr Windows-System. Wenn Sie eine Datei auf den Desktop herunterladen, erscheint sie im Desktop-Ordner des geschützten Benutzers und nicht auf Ihrem üblichen Desktop. Um das zu ändern, passen Sie das Download-Verzeichnis in Ihrem Browser an und gewähren dem geschützten Konto Schreibrechte auf den Haupt-Desktop.
Browser-Schutz unter Vista: Vista bietet mit „Mandatory Integrity Control“ einen Schutzmechanismus, der zum Sichern von Windows direkt auf einzelne Dateien angewendet werden kann. So wird ihnen der Zugriff auf alle Dateien und Ordner verboten, denen ein höherer Integritätslevel zugeteilt wurde. Der IE 7/8 läuft geschützt. Die Firefox-Entwickler planen eine ähnliche Funktion erst für Version 4. Mit pcwSecureBrowser können Sie diese Sicherheits-Funktion schon jetzt für Firefox, Chrome, Opera und Safari nutzen.
Geschützten Modus aktivieren: Nachdem Sie unser Tool pcwSecureBrowser gestartet haben, ermittelt es, welche der vier Browser installiert sind. Danach aktivieren Sie die Klickboxen neben allen Browsern, die geschützt laufen sollen. Zuletzt müssen Sie noch einen Download-Ordner freigeben. Ein Klick auf „Einstellungen übernehmen“ aktiviert den Schutz und hilft Ihnen, Windows zu sichern.
Ãœbrigens: Den Download-Ordner müssen Sie in jedem Browser als Standard definieren. Bei Firefox etwa über „Extras, Einstellungen, Allgemein“. Um den Schutz einzelner Browser später wieder zu entfernen, starten Sie das Tool erneut, deaktivieren die Klickboxen und klicken auf „Einstellungen übernehmen“.
Abwehr: Wie in Punkt 1 beschrieben, sollten Sie Ihren Browser immer mit minimalen Rechten betreiben, um möglichst wenig Angriffsfläche zu bieten.
Browser-Schutz unter XP: Mit pcwRunAs legen Sie einen Link auf dem Desktop an, über den Sie den Browser geschützt starten können. Installieren Sie das Tool, rufen Sie es auf, und folgen Sie dem Assistenten. Im zweiten Dialog geben Sie den Pfad zum Browser an. Im dritten wählen Sie Ihr sicheres Konto aus Punkt 1 und geben das Kennwort dazu ein. Im vierten geben Sie den Namen an, den der neue Desktop-Link erhalten soll (etwa „Firefox – geschützt“). Ein Klick auf den neuen Link startet den Browser über das sichere Konto.
Achtung: Der Browser läuft in einem anderen Benutzerkontext als Ihr Windows-System. Wenn Sie eine Datei auf den Desktop herunterladen, erscheint sie im Desktop-Ordner des geschützten Benutzers und nicht auf Ihrem üblichen Desktop. Um das zu ändern, passen Sie das Download-Verzeichnis in Ihrem Browser an und gewähren dem geschützten Konto Schreibrechte auf den Haupt-Desktop.
Browser-Schutz unter Vista: Vista bietet mit „Mandatory Integrity Control“ einen Schutzmechanismus, der zum Sichern von Windows direkt auf einzelne Dateien angewendet werden kann. So wird ihnen der Zugriff auf alle Dateien und Ordner verboten, denen ein höherer Integritätslevel zugeteilt wurde. Der IE 7/8 läuft geschützt. Die Firefox-Entwickler planen eine ähnliche Funktion erst für Version 4. Mit pcwSecureBrowser können Sie diese Sicherheits-Funktion schon jetzt für Firefox, Chrome, Opera und Safari nutzen.
Geschützten Modus aktivieren: Nachdem Sie unser Tool pcwSecureBrowser gestartet haben, ermittelt es, welche der vier Browser installiert sind. Danach aktivieren Sie die Klickboxen neben allen Browsern, die geschützt laufen sollen. Zuletzt müssen Sie noch einen Download-Ordner freigeben. Ein Klick auf „Einstellungen übernehmen“ aktiviert den Schutz und hilft Ihnen, Windows zu sichern.
Ãœbrigens: Den Download-Ordner müssen Sie in jedem Browser als Standard definieren. Bei Firefox etwa über „Extras, Einstellungen, Allgemein“. Um den Schutz einzelner Browser später wieder zu entfernen, starten Sie das Tool erneut, deaktivieren die Klickboxen und klicken auf „Einstellungen übernehmen“.
3. Windows-Ordner schützen:
Zugriff auf Daten kontrollieren
Gefahr: Jede Datei und jeder Ordner verfügt über individuelle Zugriffsrechte (NTFS-Rechte). Dürfen viele Benutzer eines Systems etwa auf einen Ordner zugreifen und dort Dateien ausführen, ist das Risiko einer Infektion besonders hoch.
Abwehr: Ein Benutzer mit einem sicheren Konto, hat nicht das NTFS-Recht, um Dateien in Systemordnern zu erstellen, zu ändern oder zu löschen. Ebensowenig darf er im Profil-Ordner anderer Benutzer lesen oder schreiben. Wie in Punkt 2 beschrieben, möchten wir aber den Desktop des Hauptbenutzers als Download-Ordner für sein sicheres Zweitkonto freigeben.
Rechte setzen: Drücken Sie <Win>-<R>, geben Sie %userprofile% ein, und bestätigen Sie. Klicken Sie mit der rechten Maustaste auf den Ordner „Desktop“, und wählen Sie „Eigenschaften, Sicherheit“. Gehen Sie nun auf „(Bearbeiten), Hinzufügen“, geben Sie den Benutzernamen des sicheren Kontos ein, klicken Sie auf „Namen überprüfen“ und „OK“. Markieren Sie das neue Konto, und deaktivieren Sie unter „Berechtigungen“ alle Klickboxen unter „Zulassen“ – bis auf „Ordnerinhalt auflisten“ und „Schreiben“. Jetzt können Sie den Hauptnutzer-Desktop als Download-Ordner in Ihrem Browser festlegen. Auf diese Weise steuern Sie analog für jede andere Datei oder jeden anderen Ordner, ob Mitbenutzer (oder Sie selbst) darauf zugreifen können.
Rechte für XP-Home: Bei dieser XP-Version fehlt die Registerkarte „Sicherheit“. Um sie und weitere Funktionen der Pro-Version nachzurüsten, rufen Sie unser Tool pcwXPProme auf .
Abwehr: Ein Benutzer mit einem sicheren Konto, hat nicht das NTFS-Recht, um Dateien in Systemordnern zu erstellen, zu ändern oder zu löschen. Ebensowenig darf er im Profil-Ordner anderer Benutzer lesen oder schreiben. Wie in Punkt 2 beschrieben, möchten wir aber den Desktop des Hauptbenutzers als Download-Ordner für sein sicheres Zweitkonto freigeben.
Rechte setzen: Drücken Sie <Win>-<R>, geben Sie %userprofile% ein, und bestätigen Sie. Klicken Sie mit der rechten Maustaste auf den Ordner „Desktop“, und wählen Sie „Eigenschaften, Sicherheit“. Gehen Sie nun auf „(Bearbeiten), Hinzufügen“, geben Sie den Benutzernamen des sicheren Kontos ein, klicken Sie auf „Namen überprüfen“ und „OK“. Markieren Sie das neue Konto, und deaktivieren Sie unter „Berechtigungen“ alle Klickboxen unter „Zulassen“ – bis auf „Ordnerinhalt auflisten“ und „Schreiben“. Jetzt können Sie den Hauptnutzer-Desktop als Download-Ordner in Ihrem Browser festlegen. Auf diese Weise steuern Sie analog für jede andere Datei oder jeden anderen Ordner, ob Mitbenutzer (oder Sie selbst) darauf zugreifen können.
Rechte für XP-Home: Bei dieser XP-Version fehlt die Registerkarte „Sicherheit“. Um sie und weitere Funktionen der Pro-Version nachzurüsten, rufen Sie unser Tool pcwXPProme auf .
4. System schützen:
So bleibt Windows lückenlos aktuell
So bleibt Windows lückenlos aktuell
Gefahr: Sicherheitslücken in System und Software werden von Hackern & Malware-Entwicklern über sogenannte Exploits ausgenutzt, um Schad-Code unbemerkt auf Ihr System zu schleusen.
Abwehr: Sobald eine Sicherheitslücke bekannt wird, steigt die Anzahl der Viren und Würmer meist stark an. Gleichzeitig entwickelt der Hersteller der Software ein Update, um die Lücke umgehend zu schliessen. Microsoft veröffentlicht am zweiten Dienstag jedes Monats neue Updates für Windows, Office, IE & Co. (Patch-Day). Prüfen Sie in der Systemsteuerung unter „Sicherheitscenter“, ob „Automatische Updates“ aktiviert sind und ob Windows die Updates bei Verfügbarkeit auch selbstständig installiert. Falls nicht, aktualisieren Sie die Einstellung.
Update-Archiv anlegen: Zusätzlich dazu sollten Sie sich ein lokales Update-Archiv anlegen, um bei einer Neu-Installation nicht mit einen ungeschützten Windows ins Netz gehen zu müssen. Am einfachsten geht das mit dem pcwPatchLoader (erfordert .NET Framework 3.5) . Rufen Sie das Tool auf, und klicken Sie auf „Updates suchen“. Nachdem Sie ein Download-Verzeichnis angegeben haben und das Tool Ihr System untersucht hat, zeigt es eine Liste mit Updates an, die für Ihr System relevant sind. Mit einem Klick auf „Updates laden“ holen Sie sie auf den Rechner.Um die Updates nach einer Neu-Installation von Windows einzuspielen, starten Sie das Tool, klicken auf „Optionen“ und wählen Ihr Archiv-Verzeichnis. Anschliessend klicken Sie auf „Updates installieren“. Zunächst wird das aktuelle Service Pack eingerichtet und der Rechner neu gestartet. Danach starten Sie wieder das Tool und klicken auf „Updates installieren“. Nachdem alle zusätzlichen Updates eingerichtet wurden, starten Sie den Rechner noch einmal neu – fertig.
Abwehr: Sobald eine Sicherheitslücke bekannt wird, steigt die Anzahl der Viren und Würmer meist stark an. Gleichzeitig entwickelt der Hersteller der Software ein Update, um die Lücke umgehend zu schliessen. Microsoft veröffentlicht am zweiten Dienstag jedes Monats neue Updates für Windows, Office, IE & Co. (Patch-Day). Prüfen Sie in der Systemsteuerung unter „Sicherheitscenter“, ob „Automatische Updates“ aktiviert sind und ob Windows die Updates bei Verfügbarkeit auch selbstständig installiert. Falls nicht, aktualisieren Sie die Einstellung.
Update-Archiv anlegen: Zusätzlich dazu sollten Sie sich ein lokales Update-Archiv anlegen, um bei einer Neu-Installation nicht mit einen ungeschützten Windows ins Netz gehen zu müssen. Am einfachsten geht das mit dem pcwPatchLoader (erfordert .NET Framework 3.5) . Rufen Sie das Tool auf, und klicken Sie auf „Updates suchen“. Nachdem Sie ein Download-Verzeichnis angegeben haben und das Tool Ihr System untersucht hat, zeigt es eine Liste mit Updates an, die für Ihr System relevant sind. Mit einem Klick auf „Updates laden“ holen Sie sie auf den Rechner.Um die Updates nach einer Neu-Installation von Windows einzuspielen, starten Sie das Tool, klicken auf „Optionen“ und wählen Ihr Archiv-Verzeichnis. Anschliessend klicken Sie auf „Updates installieren“. Zunächst wird das aktuelle Service Pack eingerichtet und der Rechner neu gestartet. Danach starten Sie wieder das Tool und klicken auf „Updates installieren“. Nachdem alle zusätzlichen Updates eingerichtet wurden, starten Sie den Rechner noch einmal neu – fertig.
5. Downloads überprüfen:
Keine Chance für Maleware
Keine Chance für Maleware
Gefahr: Heruntergeladene Dateien, die Sie im Explorer mit Admin-Rechten aufrufen, können enthaltenen Schad-Code natürlich trotz geschützten Browsers und aktuellen Systems ausführen. Dasselbe kann auch passieren, wenn Sie verseuchte Mailanhänge öffnen.
Abwehr: Trotz aller Schutzmassnahmen brauchen Sie zusätzlich ein Frühwarnsystem für neue Dateien, die auf Ihrem Rechner landen. Ein kostenfreier und empfehlenswerter Malware-Wächter ist Avira Antivir 9.
Antivir einrichten: Nachdem Sie das Tool mit den Standardeinstellungen installiert haben, erscheint ein neues Regenschirmsymbol im Infobereich (Tray). Klicken Sie mit der rechten Maustaste darauf, und wählen Sie „Update starten“, um die aktuellen Signaturen herunterzuladen. Danach klicken Sie doppelt auf das Symbol und wählen neben „Letzte vollständige Systemprüfung“ den Punkt „System jetzt prüfen“. Tritt bei dieser Ãœberprüfung kein Fund auf, können Sie davon ausgehen, dass Ihre Daten sauber sind.
Ãœbrigens: Nachdem Sie Antivir 9 eingerichtet haben, sollten Sie unbedingt den standardmässig aktiven Windows Defender deaktivieren. Sonst stehen sich die beiden Spyware-Wächter nur gegenseitig im Weg.
So arbeitet Antivir: Der Virenwächter prüft nun jede neu hinzukommende oder geänderte Datei auf Viren, Würmer, Trojaner, Rootkits und Spyware. Enthält eine Datei ein Malware-Muster, warnt Avira Sie und gibt Ihnen die Möglichkeit zu reagieren, bevor die Datei ausgeführt wird.
Funktion testen: Sie können ganz einfach testen, ob der Virenwächter funktioniert. Laden Sie einfach die Datei eicar.com von www.eicar.org herunter. Es handelt sich dabei um eine ungefährliche Test-Datei für Antiviren-Software. Ihr Wächter sollte darauf anspringen und sie als Malware einstufen – dann funktioniert er.
Abwehr: Trotz aller Schutzmassnahmen brauchen Sie zusätzlich ein Frühwarnsystem für neue Dateien, die auf Ihrem Rechner landen. Ein kostenfreier und empfehlenswerter Malware-Wächter ist Avira Antivir 9.
Antivir einrichten: Nachdem Sie das Tool mit den Standardeinstellungen installiert haben, erscheint ein neues Regenschirmsymbol im Infobereich (Tray). Klicken Sie mit der rechten Maustaste darauf, und wählen Sie „Update starten“, um die aktuellen Signaturen herunterzuladen. Danach klicken Sie doppelt auf das Symbol und wählen neben „Letzte vollständige Systemprüfung“ den Punkt „System jetzt prüfen“. Tritt bei dieser Ãœberprüfung kein Fund auf, können Sie davon ausgehen, dass Ihre Daten sauber sind.
Ãœbrigens: Nachdem Sie Antivir 9 eingerichtet haben, sollten Sie unbedingt den standardmässig aktiven Windows Defender deaktivieren. Sonst stehen sich die beiden Spyware-Wächter nur gegenseitig im Weg.
So arbeitet Antivir: Der Virenwächter prüft nun jede neu hinzukommende oder geänderte Datei auf Viren, Würmer, Trojaner, Rootkits und Spyware. Enthält eine Datei ein Malware-Muster, warnt Avira Sie und gibt Ihnen die Möglichkeit zu reagieren, bevor die Datei ausgeführt wird.
Funktion testen: Sie können ganz einfach testen, ob der Virenwächter funktioniert. Laden Sie einfach die Datei eicar.com von www.eicar.org herunter. Es handelt sich dabei um eine ungefährliche Test-Datei für Antiviren-Software. Ihr Wächter sollte darauf anspringen und sie als Malware einstufen – dann funktioniert er.
6. Verbindungen sperren:
Die Firewall richtig konfigurieren
Die Firewall richtig konfigurieren
Gefahr: So genannte Wurmlücken sind das Schreckgespenst jedes sicherheitsbewussten Anwenders. Dabei handelt es sich um Sicherheitslücken im System, die völlig ohne Zutun des Benutzers ausgenutzt werden können, etwa über ein gefälschtes Netzwerkpaket. Der Wurm Conficker verbreitet sich unter anderem aufgrund einer Sicherheitslücke im Windows-Server-Dienst (svchost.exe) etwa seit November 2008 auf diese Weise.
Abwehr: Im Falle von Conficker wie auch jeder anderen Wurmlücken-Malware hat Microsoft sehr schnell einen entsprechenden Patch bereitgestellt. Für den Fall, dass auf Ihrem System beim nächsten Angriff aber noch nicht der aktuelle Patch installiert ist, sollten Sie eine zusätzliche Schutzmassnahme treffen.
Firewall nutzen: In der Voreinstellung ist die Windows-Firewall unter XP (SP3) und Vista eingeschaltet. Sie verwirft alle eingehenden Verbindungen, die Sie nicht erlaubt haben (somit auch gefälschte Netzwerkpakete). Beim Start von Tools, die Server-Dienste anbieten, fragt sie nach, ob eingehende Verbindungen zu den von diesen Programmen geöffneten Ports erlaubt werden sollen. Sie konfigurieren die Firewall über das Sicherheitscenter in der Systemsteuerung. Dort kann man eine Ausnahmenliste für Tools oder Ports erstellen.
So funktioniert die Firewall: Nach aussen gehende Verbindungen kontrolliert die Windows-Firewall nicht. Deswegen ist sie machtlos gegen Schädlinge, die sich bereits auf Ihrem System eingenistet haben und Verbindung ins Web aufnehmen. Dies kann etwa – auch bei aktivierter Firewall – durch Sicherheitslücken im Browser geschehen sein. Um auch ausgehende Verbindungen gemeldet zu bekommen, müssen Sie etwa auf Zone Alarm ausweichen.
Abwehr: Im Falle von Conficker wie auch jeder anderen Wurmlücken-Malware hat Microsoft sehr schnell einen entsprechenden Patch bereitgestellt. Für den Fall, dass auf Ihrem System beim nächsten Angriff aber noch nicht der aktuelle Patch installiert ist, sollten Sie eine zusätzliche Schutzmassnahme treffen.
Firewall nutzen: In der Voreinstellung ist die Windows-Firewall unter XP (SP3) und Vista eingeschaltet. Sie verwirft alle eingehenden Verbindungen, die Sie nicht erlaubt haben (somit auch gefälschte Netzwerkpakete). Beim Start von Tools, die Server-Dienste anbieten, fragt sie nach, ob eingehende Verbindungen zu den von diesen Programmen geöffneten Ports erlaubt werden sollen. Sie konfigurieren die Firewall über das Sicherheitscenter in der Systemsteuerung. Dort kann man eine Ausnahmenliste für Tools oder Ports erstellen.
So funktioniert die Firewall: Nach aussen gehende Verbindungen kontrolliert die Windows-Firewall nicht. Deswegen ist sie machtlos gegen Schädlinge, die sich bereits auf Ihrem System eingenistet haben und Verbindung ins Web aufnehmen. Dies kann etwa – auch bei aktivierter Firewall – durch Sicherheitslücken im Browser geschehen sein. Um auch ausgehende Verbindungen gemeldet zu bekommen, müssen Sie etwa auf Zone Alarm ausweichen.
7. Netzfreigaben schützen:
Dateien kontrolliert freigeben
Dateien kontrolliert freigeben
Gefahr: Unter Windows können Sie einzelne Ordner im Netz freigeben. Dann ist es Benutzern anderer Rechner, die sowohl über entsprechende lokale als auch über Freigabe-Rechte verfügen, möglich, auf die Inhalte zuzugreifen. Wenn Sie nicht genau darauf achten, welche Ordner Sie freigeben und dass nur vertrauenswürdige Benutzer Zugriff erhalten, kann etwa ein feindlich gesinnter Kollege oder ein Hacker Ihre Daten manipulieren.
Abwehr: Um schnell einen Ãœberblick über alle Freigaben zu bekommen, drücken Sie <Win>-<R> und geben „fsmgmt.msc“ ein, um den Freigabenmanager zu starten. Öffnen Sie dort die Rubrik „Freigaben“.
Administrative Freigaben: Standardmässig sind alle Laufwerke für den Admin des Systems versteckt freigegeben. Sie erkennen die administrativen Freigaben daran, dass deren Namen aus Laufwerksbuchstaben und „$“ bestehen (etwa C$). Das „$“ versteckt die Freigaben in der Netzwerkumgebung – über den UNC-Pfad „\\<Rechnername>\C$“ können Sie trotzdem darauf zugreifen. Deshalb ist es wichtig, dass Ihr Admin-Konto mit einem sicheren Kennwort geschützt wird. Holen Sie das spätestens jetzt über das Benutzerkonten-Applet in der Systemsteuerung nach.
Eigene Freigaben: Alle Freigabenamen ohne abschliessendes „$“ haben Sie selbst eingerichtet. In der zweiten Spalte sehen Sie, welchen lokalen Pfad die Freigabe hat. Ein Klick auf den Namen öffnet ein Eigenschaftenfenster. Auf der Registerkarte „Freigabeberechtigungen“ sehen Sie, welcher Benutzer oder welche Gruppe Zugriff hat. Ist hier etwa die Gruppe „Jeder“ mit Lese- und Schreibrechten ausgestattet, so kann jeder Benutzer, der ein Konto auf Ihrem System hat, und jeder Gast – also praktisch alle – Ihre Daten manipulieren. Falls Sie das nicht möchten, sollten Sie die Gruppe „Jeder“ ausklammern und stattdessen Berechtigungen für klar definierte einzelne Benutzer vergeben.
Kein Port-Forwarding im Router: Im privaten Heimnetz werden Sie in der Regel nur Benutzern des lokalen Netzwerkes Zugriff auf Ihre Freigaben erteilen wollen. Daher sollten Sie in jedem Fall darauf achten, dass das Port-Forwarding bei der Firewall Ihres DSL-Routers für die Ports 445, 139, 138 und 137 deaktiviert ist. Andernfalls kann theoretisch das gesamte Internet auf freigegebene Ordner zugreifen.
Abwehr: Um schnell einen Ãœberblick über alle Freigaben zu bekommen, drücken Sie <Win>-<R> und geben „fsmgmt.msc“ ein, um den Freigabenmanager zu starten. Öffnen Sie dort die Rubrik „Freigaben“.
Administrative Freigaben: Standardmässig sind alle Laufwerke für den Admin des Systems versteckt freigegeben. Sie erkennen die administrativen Freigaben daran, dass deren Namen aus Laufwerksbuchstaben und „$“ bestehen (etwa C$). Das „$“ versteckt die Freigaben in der Netzwerkumgebung – über den UNC-Pfad „\\<Rechnername>\C$“ können Sie trotzdem darauf zugreifen. Deshalb ist es wichtig, dass Ihr Admin-Konto mit einem sicheren Kennwort geschützt wird. Holen Sie das spätestens jetzt über das Benutzerkonten-Applet in der Systemsteuerung nach.
Eigene Freigaben: Alle Freigabenamen ohne abschliessendes „$“ haben Sie selbst eingerichtet. In der zweiten Spalte sehen Sie, welchen lokalen Pfad die Freigabe hat. Ein Klick auf den Namen öffnet ein Eigenschaftenfenster. Auf der Registerkarte „Freigabeberechtigungen“ sehen Sie, welcher Benutzer oder welche Gruppe Zugriff hat. Ist hier etwa die Gruppe „Jeder“ mit Lese- und Schreibrechten ausgestattet, so kann jeder Benutzer, der ein Konto auf Ihrem System hat, und jeder Gast – also praktisch alle – Ihre Daten manipulieren. Falls Sie das nicht möchten, sollten Sie die Gruppe „Jeder“ ausklammern und stattdessen Berechtigungen für klar definierte einzelne Benutzer vergeben.
Kein Port-Forwarding im Router: Im privaten Heimnetz werden Sie in der Regel nur Benutzern des lokalen Netzwerkes Zugriff auf Ihre Freigaben erteilen wollen. Daher sollten Sie in jedem Fall darauf achten, dass das Port-Forwarding bei der Firewall Ihres DSL-Routers für die Ports 445, 139, 138 und 137 deaktiviert ist. Andernfalls kann theoretisch das gesamte Internet auf freigegebene Ordner zugreifen.
8. Browser und Mail absichern:
Schützen Sie sich vor Pishing
Schützen Sie sich vor Pishing
Gefahr: Phishing bedeutet im weitesten Sinne, dass ein krimineller Web-Seiten-Betreiber oder Spam-Mailer versucht, durch Verschleierung der eigenen Identität ein Vertrauensverhältnis zu Ihnen aufzubauen. Die Folgen: Arglos übergeben Sie ihm möglicherweise die Daten zu Ihrem Online-Banking- oder Paypal-Konto, oder Sie lassen sich auf eine gehackte Site locken und führen vertrauenswürdig anmutenden Schad-Code aus.
Abwehr: Die Tricks der Phisher sind immer die gleichen. Deshalb ist es auch recht einfach, sich davor zu schützen. In unserem Sicherheits-Paket pcwSecurityAddons haben wir eine ganze Reihe nützlicher Erweiterungen für Firefox 3, Internet Explorer 7/8 und Thunderbird 2 zusammengestellt. Nachdem Sie pcwSecurityAddons gestartet haben, öffnen Sie die Registerkarte mit der Anwendung, für die Sie die Add-ons einrichten möchten. Wählen Sie das zu aktualisierende Benutzerprofil oder „Systemweit“ , und klicken Sie auf „Installieren“.
Antiphishing-Add-ons: Für Firefox erhalten Sie so zum Beispiel die Erweiterung „Locationbar²“ – sie sorgt dafür, dass die Domain der aktuell geöffneten Site hervorgehoben wird. So ist leichter zu sehen, ob Sie tatsächlich auf der Seite Ihrer Bank sind oder auf einer gefälschten. Die Erweiterung „Web of Trust“ (WOT) bewertet die Zuverlässigkeit von Web-Seiten: Ein grüner Kringel neben einem Suchergebnis signalisiert keine Gefahr. Ein gelber Kringel sollte Sie stutzig machen – ein Blick auf die Bewertungskarte hilft Ihnen dabei zu entscheiden, ob Sie die Seite öffnen können. Bei Rot: Unbedingt Finger weg! Für den IE7/8 haben wir neben WOT nur IE7-Pro eingebaut. Diese Erweiterung ist ein absolutes Pflichtprogramm, da sie alle wichtigen Sicherheitserweiterungen bereits enthält. In Thunderbird hilft Ihnen „Sender Verification Anti-Phishing“ herauszufinden, ob der Absender einer Mail gefälscht ist.
HTML für Mails abschalten: Spam-Mailer verschicken gerne Mails im HTML-Format. Hier haben sie etwa die Möglichkeit, das tatsächliche Link-Ziel durch falsche Beschriftung zu verschleiern. Schalten Sie die HTML-Anzeige von Mails deshalb ab. In Thunderbird machen Sie das über „Ansicht, Nachrichtentext, Reiner Text“. In Outlook Express öffnen Sie dazu „Extras, Optionen, Lesen“ und aktivieren die Klickbox vor „Alle Nachrichten als ‚Nur-Text‘ lesen“. In Outlook 2007 öffnen Sie „Extras, Vertrauensstellungscenter, E-Mail-Sicherheit“ und aktivieren die Klickbox vor „Standardnachrichten im Nur-Text-Format lesen“. Bei seinen Vorgängern finden Sie die Option unter „Extras, Optionen, Einstellungen, E-Mail Optionen“ .
Ãœbrigens: Mit der Erweiterung „Allow HTML Temp“ aus unseren pcwSecurityAddons können Sie die Formatierung für einzelne Mails im Thunderbird wieder einschalten. Klicken Sie dazu mit der rechten Maustaste in die geöffnete Mail, und wählen Sie „HTML zeigen“ .
Abwehr: Die Tricks der Phisher sind immer die gleichen. Deshalb ist es auch recht einfach, sich davor zu schützen. In unserem Sicherheits-Paket pcwSecurityAddons haben wir eine ganze Reihe nützlicher Erweiterungen für Firefox 3, Internet Explorer 7/8 und Thunderbird 2 zusammengestellt. Nachdem Sie pcwSecurityAddons gestartet haben, öffnen Sie die Registerkarte mit der Anwendung, für die Sie die Add-ons einrichten möchten. Wählen Sie das zu aktualisierende Benutzerprofil oder „Systemweit“ , und klicken Sie auf „Installieren“.
Antiphishing-Add-ons: Für Firefox erhalten Sie so zum Beispiel die Erweiterung „Locationbar²“ – sie sorgt dafür, dass die Domain der aktuell geöffneten Site hervorgehoben wird. So ist leichter zu sehen, ob Sie tatsächlich auf der Seite Ihrer Bank sind oder auf einer gefälschten. Die Erweiterung „Web of Trust“ (WOT) bewertet die Zuverlässigkeit von Web-Seiten: Ein grüner Kringel neben einem Suchergebnis signalisiert keine Gefahr. Ein gelber Kringel sollte Sie stutzig machen – ein Blick auf die Bewertungskarte hilft Ihnen dabei zu entscheiden, ob Sie die Seite öffnen können. Bei Rot: Unbedingt Finger weg! Für den IE7/8 haben wir neben WOT nur IE7-Pro eingebaut. Diese Erweiterung ist ein absolutes Pflichtprogramm, da sie alle wichtigen Sicherheitserweiterungen bereits enthält. In Thunderbird hilft Ihnen „Sender Verification Anti-Phishing“ herauszufinden, ob der Absender einer Mail gefälscht ist.
HTML für Mails abschalten: Spam-Mailer verschicken gerne Mails im HTML-Format. Hier haben sie etwa die Möglichkeit, das tatsächliche Link-Ziel durch falsche Beschriftung zu verschleiern. Schalten Sie die HTML-Anzeige von Mails deshalb ab. In Thunderbird machen Sie das über „Ansicht, Nachrichtentext, Reiner Text“. In Outlook Express öffnen Sie dazu „Extras, Optionen, Lesen“ und aktivieren die Klickbox vor „Alle Nachrichten als ‚Nur-Text‘ lesen“. In Outlook 2007 öffnen Sie „Extras, Vertrauensstellungscenter, E-Mail-Sicherheit“ und aktivieren die Klickbox vor „Standardnachrichten im Nur-Text-Format lesen“. Bei seinen Vorgängern finden Sie die Option unter „Extras, Optionen, Einstellungen, E-Mail Optionen“ .
Ãœbrigens: Mit der Erweiterung „Allow HTML Temp“ aus unseren pcwSecurityAddons können Sie die Formatierung für einzelne Mails im Thunderbird wieder einschalten. Klicken Sie dazu mit der rechten Maustaste in die geöffnete Mail, und wählen Sie „HTML zeigen“ .
9. CO-/USB-Malware stoppen:
Autostart entschärfen
Autostart entschärfen
Gefahr: Nicht nur im Internet lauert Malware. Unvorsichtige oder böswillige Bekannte oder Kollegen können Schädlinge auch per USB-Stick oder CD/DVD einschleppen. Das grösste Risiko besteht darin, dass die enthaltene Malware aufgrund der Autoplay-Einstellung auf Ihrem PC ohne Rückfragen ausgeführt wird und dabei private Daten auf den Stick kopiert (Podslurping).
Abwehr: Bei Vista öffnen Sie in der Systemsteuerung das Applet „Automatische Wiedergabe“. Hier können Sie detailliert für jeden Medientyp einstellen, wie Windows beim Einlegen oder Anstecken reagieren soll. Unter XP können Sie einen ähnlichen Autoplay-Konfigurationsdialog nachrüsten, indem Sie das Tool Autoplay Repair installieren.Tragen Sie in beiden Fällen für alle Medientypen ein, dass das Medium lediglich im Explorer geöffnet wird, aber nichts automatisch ausgeführt werden soll.
Abwehr: Bei Vista öffnen Sie in der Systemsteuerung das Applet „Automatische Wiedergabe“. Hier können Sie detailliert für jeden Medientyp einstellen, wie Windows beim Einlegen oder Anstecken reagieren soll. Unter XP können Sie einen ähnlichen Autoplay-Konfigurationsdialog nachrüsten, indem Sie das Tool Autoplay Repair installieren.Tragen Sie in beiden Fällen für alle Medientypen ein, dass das Medium lediglich im Explorer geöffnet wird, aber nichts automatisch ausgeführt werden soll.
10. DSL-Zugang schützen:
Router und Firewall sichern
Router und Firewall sichern
Gefahr: Wenn Sie DSL nutzen, dann ist Ihr PC wahrscheinlich an einen Router angeschlossen (etwa einer Fritzbox). Dieser Router ist das Gateway von Ihrem lokalen Netz auf der einen zum Internet auf der anderen Seite. Ist der Router kompromittiert, sind alle Rechner Ihres lokalen Netzes dem Malware-Beschuss aus dem Internet ausgesetzt. Ausserdem besteht die Gefahr, dass eingegebene Web-Adressen umgeleitet werden.
Abwehr: In der Regel bietet jeder Router eine Web-Oberfläche, um die wichtigsten Parameter einzustellen. Da sich die Konfigurationsdialoge bei jedem Hersteller unterscheiden, können wir Ihnen hier keine exakte Anleitung zu den jeweiligen Optionen geben. Die Dialoge sind jedoch meist so aufgebaut, dass Sie die angesprochenen Punkte leicht finden.
Router-Firewall: Sehen Sie im Konfigurationsdialog des Routers zunächst nach, ob dessen Firewall aktiviert ist. Eine solche Hardware-Firewall schützt noch wirksamer als Zone Alarm, Windows-Firewall & Co. vor eingehenden Netzverbindungen, die Sie nicht selbst veranlasst haben.
DNS-Kennwort: Sie sollten keinesfalls das Router-Kennwort auf Werkseinstellung stehen lassen. Der Hauptgrund dafür sind die DNS-Einstellungen (Domain Name System). Wenn Sie eine URL eingeben (etwa www.pcwelt.de), dann übersetzt ein DNS-Server diesen Namen in die entsprechende IP-Adresse (hier 217.111.81.80). Ihr Router nutzt dabei die DNS-Server, die in seinen Optionen von Ihrem Provider hinterlegt wurden. Schädlinge kennen häufig die Werkskennwörter der Router. Ändert nun eine Malware auf Ihrem PC die DNS-Konfiguration des Routers, kann sie dort einen anderen Server eintragen. Die Folge ist, dass eingegebene oder angeklickte URLs nicht mehr korrekt aufgelöst werden, sondern stattdessen etwa auf IP-Adressen von Phishing-Seiten verweisen.
UPNP & offene Ports: Ports sind die Schnittstellen von Ihrem System zur Aussenwelt. Jeder dauerhaft geöffnete Port erhöht die Angriffsfläche. Damit eine Anwendung ausserhalb Ihres lokalen Netzwerks einen Port auf Ihrem Rechner nutzen kann, muss sie erst an Ihrem Router vorbei. Ãœber „Port-Forwarding“ kann der Router angewiesen werden, Anfragen für bestimmte Ports weiterzuleiten. Dieses Port-Forwarding müssen Sie eigentlich manuell erlauben, doch eine Ausnahme macht UPNP (Universal Plug & Play). Diese Funktion kann die Port-Konfiguration ungefragt ändern, wenn eine Anwendung auf Ihrem PC es verlangt. Sollte diese Anwendung jedoch eine Malware sein, öffnet sie so eine Hintertür in Ihrem Netzwerk. Schalten Sie UPNP also ab – oder schränken Sie es zumindest so ein, dass es melden, aber nichts ändern darf.
Abwehr: In der Regel bietet jeder Router eine Web-Oberfläche, um die wichtigsten Parameter einzustellen. Da sich die Konfigurationsdialoge bei jedem Hersteller unterscheiden, können wir Ihnen hier keine exakte Anleitung zu den jeweiligen Optionen geben. Die Dialoge sind jedoch meist so aufgebaut, dass Sie die angesprochenen Punkte leicht finden.
Router-Firewall: Sehen Sie im Konfigurationsdialog des Routers zunächst nach, ob dessen Firewall aktiviert ist. Eine solche Hardware-Firewall schützt noch wirksamer als Zone Alarm, Windows-Firewall & Co. vor eingehenden Netzverbindungen, die Sie nicht selbst veranlasst haben.
DNS-Kennwort: Sie sollten keinesfalls das Router-Kennwort auf Werkseinstellung stehen lassen. Der Hauptgrund dafür sind die DNS-Einstellungen (Domain Name System). Wenn Sie eine URL eingeben (etwa www.pcwelt.de), dann übersetzt ein DNS-Server diesen Namen in die entsprechende IP-Adresse (hier 217.111.81.80). Ihr Router nutzt dabei die DNS-Server, die in seinen Optionen von Ihrem Provider hinterlegt wurden. Schädlinge kennen häufig die Werkskennwörter der Router. Ändert nun eine Malware auf Ihrem PC die DNS-Konfiguration des Routers, kann sie dort einen anderen Server eintragen. Die Folge ist, dass eingegebene oder angeklickte URLs nicht mehr korrekt aufgelöst werden, sondern stattdessen etwa auf IP-Adressen von Phishing-Seiten verweisen.
UPNP & offene Ports: Ports sind die Schnittstellen von Ihrem System zur Aussenwelt. Jeder dauerhaft geöffnete Port erhöht die Angriffsfläche. Damit eine Anwendung ausserhalb Ihres lokalen Netzwerks einen Port auf Ihrem Rechner nutzen kann, muss sie erst an Ihrem Router vorbei. Ãœber „Port-Forwarding“ kann der Router angewiesen werden, Anfragen für bestimmte Ports weiterzuleiten. Dieses Port-Forwarding müssen Sie eigentlich manuell erlauben, doch eine Ausnahme macht UPNP (Universal Plug & Play). Diese Funktion kann die Port-Konfiguration ungefragt ändern, wenn eine Anwendung auf Ihrem PC es verlangt. Sollte diese Anwendung jedoch eine Malware sein, öffnet sie so eine Hintertür in Ihrem Netzwerk. Schalten Sie UPNP also ab – oder schränken Sie es zumindest so ein, dass es melden, aber nichts ändern darf.
11. Verzeichnisse schützen:
Daten verschlüsseln
Daten verschlüsseln
Gefahr: Können Sie sicher sein, dass in Ihrer Abwesenheit niemand an Ihren PC geht und Daten ausspioniert? Würde es Sie stören, wenn ein Fremder Ihr Notebook findet und an Ihre privaten und geschäftlichen Daten kommt? Das Windows-Kennwort ist nur ein sehr schwacher Schutz für Ihre Daten.
Abwehr: Je nach Umfang können Sie vertrauliche Daten mit Truecrypt in einen unknackbaren, verschlüsselten Container packen oder – mit Truecrypt oder Bitlocker (Vista Ultimate) – den Inhalt einer Partition verschlüsseln.
Mit Truecrypt verschlüsseln: Nachdem Sie Truecrypt installiert und die deutsche Sprachdatei in das Tool-Verzeichnis entpackt haben, starten Sie das Programm. Dann klicken Sie auf „Volume erstellen“ und wählen „System-Partition bzw. System-Laufwerk verschlüsseln“. Danach fordern Sie Truecrypt auf, die gesamte Systemfestplatte zu verschlüsseln. Folgen Sie nun dem Assistenten, bis der Vorgang abgeschlossen ist. Bewahren Sie die während des Vorgangs angelegte Rettungs-CD sorgfältig auf. Sollten Sie Ihr Verschlüsselungskennwort einmal vergessen, ist sie Ihre letzte Möglichkeit, um wieder an Ihre Daten zu kommen.
Abwehr: Je nach Umfang können Sie vertrauliche Daten mit Truecrypt in einen unknackbaren, verschlüsselten Container packen oder – mit Truecrypt oder Bitlocker (Vista Ultimate) – den Inhalt einer Partition verschlüsseln.
Mit Truecrypt verschlüsseln: Nachdem Sie Truecrypt installiert und die deutsche Sprachdatei in das Tool-Verzeichnis entpackt haben, starten Sie das Programm. Dann klicken Sie auf „Volume erstellen“ und wählen „System-Partition bzw. System-Laufwerk verschlüsseln“. Danach fordern Sie Truecrypt auf, die gesamte Systemfestplatte zu verschlüsseln. Folgen Sie nun dem Assistenten, bis der Vorgang abgeschlossen ist. Bewahren Sie die während des Vorgangs angelegte Rettungs-CD sorgfältig auf. Sollten Sie Ihr Verschlüsselungskennwort einmal vergessen, ist sie Ihre letzte Möglichkeit, um wieder an Ihre Daten zu kommen.
